導讀:智慧軍營安全防護系統(tǒng),既涉及對外部攻擊的有效防范,又包括制定完善的內(nèi)部安全保障制度;既涉及防病毒攻擊,又涵蓋實時監(jiān)測、數(shù)據(jù)加密和安全評估等內(nèi)容。全方位保障部隊的數(shù)據(jù)訪問安全,將部隊的數(shù)據(jù)信息進行高效管控。
北京西岐智慧軍營解決方案集成智慧軍校、智能營區(qū)、智慧營院、智慧訓練、智慧邊防、智慧政工、請銷假系統(tǒng)、人員管理系統(tǒng)、車輛管理系統(tǒng)、車輛派遣系統(tǒng)、機關(guān)辦公系統(tǒng)、政治教育系統(tǒng)、訪客登記系統(tǒng)、裝備保障系統(tǒng)、戰(zhàn)備值班系統(tǒng)、后勤保障系統(tǒng)、智慧考試系統(tǒng)、輔助決策系統(tǒng)、三維可視大屏、綜合態(tài)勢平臺等軟硬件結(jié)合一體化解決方案。
一、建設背景
現(xiàn)階段,信息系統(tǒng)安全保密技術(shù)被廣泛應用在世界的各個領(lǐng)域中,并取得了良好的效果。之所以世界各國在發(fā)展的過程中應用信息系統(tǒng)安全保密技術(shù),其主要的原因在于當今時代是一個科技競爭的時期,世界各國在發(fā)展的過程中都充分的運行信息技術(shù)和相關(guān)的系統(tǒng)對數(shù)據(jù)進行儲存,一旦信息系統(tǒng)遭受破壞,系統(tǒng)中重要的信息和數(shù)據(jù)就會丟失。隨著我軍各類信息網(wǎng)絡建設的不斷深入,軍用網(wǎng)絡電子信息面臨的安全問題日益突出,尤其是近年來,新形勢下軍事斗爭準備工作步伐日益加快,軍用網(wǎng)絡泄密、竊密和受破壞事件頻發(fā),給軍用網(wǎng)絡電子信息安全造成了嚴重的危害。因此,提高軍用網(wǎng)絡的安全性,構(gòu)筑完善的軍用網(wǎng)絡電子信息安全體系成為當務之急。
北京西岐網(wǎng)絡公司自主研發(fā)的安全防護系統(tǒng),由通信網(wǎng)絡安全分系統(tǒng)、計算環(huán)境安全分系統(tǒng)、應用服務安全分系統(tǒng)、數(shù)據(jù)資源安全分系統(tǒng)、網(wǎng)絡信任支撐分系統(tǒng)和安全運維管理分系統(tǒng)六個分系統(tǒng)組成。實現(xiàn)了對安全管理流程的全覆蓋。
二、系統(tǒng)介紹
軍用網(wǎng)絡電子信息安全體系設計應充分考慮影響軍用網(wǎng)絡電子信息的各方面風險,不忽視或漏掉其中任何一個安全環(huán)節(jié),以便能夠保證整個系統(tǒng)的安全性。
(一)通信網(wǎng)絡安全分系統(tǒng)
通信網(wǎng)絡安全分系統(tǒng)為系統(tǒng)通信網(wǎng)絡安全提供技術(shù)支撐手段,主要由網(wǎng)絡密碼機、防火墻、網(wǎng)絡入侵檢測系統(tǒng)、網(wǎng)絡準入控制系統(tǒng)等裝備組成。
1.網(wǎng)絡密碼機:機要設備,硬件形態(tài),部署于局域網(wǎng)出入口,根據(jù)用戶需求進行配置,提供網(wǎng)間一對多和多對多的IP網(wǎng)絡數(shù)據(jù)傳輸加密服務。
2.防火墻:硬件形態(tài),部署于局域網(wǎng)邊界、局域網(wǎng)絡內(nèi)部不同區(qū)域之間,實現(xiàn)網(wǎng)絡邏輯隔離和網(wǎng)絡訪問控制功能。
3.網(wǎng)絡入侵檢測系統(tǒng):硬件形態(tài),與節(jié)點內(nèi)各交換機所配置的鏡像端口連接,提供威脅發(fā)現(xiàn)、威脅展示、威脅分析、威脅處理功能,實現(xiàn)網(wǎng)絡攻擊行為以及網(wǎng)絡資源濫用行為檢測。
4.網(wǎng)絡準入控制系統(tǒng):硬件形態(tài),部署于核心交換機上,負責對接入局域網(wǎng)的網(wǎng)絡設備進行準入控制,驗證入網(wǎng)主機身份合法性安全狀態(tài)合規(guī)性,防止不滿足安全策略要求的主機接入網(wǎng)絡。
(二)計算環(huán)境安全分系統(tǒng)
計算環(huán)境安全分系統(tǒng)為系統(tǒng)中服務器、主機等計算設施的安全提供技術(shù)支撐手段,主要由主機監(jiān)控與審計系統(tǒng)、惡意代碼檢測系統(tǒng)等裝備組成。
1.惡意代碼檢測系統(tǒng)客戶端:軟件形態(tài),部署于服務器、終端操作系統(tǒng)中,實現(xiàn)病毒查殺功能、常用系統(tǒng)與應用軟件的漏洞檢測與補丁分發(fā)功能,可通過網(wǎng)絡級聯(lián)實時更新病毒庫和補丁庫。
2.主機監(jiān)控與審計系統(tǒng)客戶端:軟件形態(tài),部署于終端操作系統(tǒng)中,為自主可控計算機終端提供安全計算環(huán)境,提供對計算機資源管理控制功能,用于實現(xiàn)計算環(huán)境的終端安全基線評估、綜合防護與攻擊檢測,確保計算環(huán)境安全可靠運行。
(三)應用服務安全分系統(tǒng)
應用服務安全分系統(tǒng)為系統(tǒng)承載的應用服務的安全提供技術(shù)支撐手段,主要由Web應用防火墻等裝備組成。
(四)數(shù)據(jù)資源安全分系統(tǒng)
數(shù)據(jù)資源安全分系統(tǒng)為數(shù)據(jù)存儲、數(shù)據(jù)訪問安全提供技術(shù)支撐手段,主要由數(shù)據(jù)庫審計系統(tǒng)、網(wǎng)絡存儲密碼機等裝備組成
1.數(shù)據(jù)庫審計系統(tǒng):硬件形態(tài),以旁路或串聯(lián)部署方式連接數(shù)據(jù)庫服務器的接入層交換機,提供基于IP地址、事件、用戶/用戶組、數(shù)據(jù)庫用戶名、數(shù)據(jù)庫類型、數(shù)據(jù)庫表名、字段名、自定義敏感數(shù)據(jù)、DDL、DML數(shù)據(jù)庫操作指令等數(shù)據(jù)庫訪問行為進行監(jiān)測,能夠根據(jù)存儲的數(shù)據(jù)庫訪問行為數(shù)據(jù),分析前而無系統(tǒng)對數(shù)據(jù)庫的訪問習慣(包括對數(shù)據(jù)庫的增加、更新、刪除、查詢等SQL訪問語句),在發(fā)生突變的數(shù)據(jù)庫訪問異常行為時,能夠給出告警。
2.網(wǎng)絡存儲密碼機:機要裝備,硬件形態(tài),部署在局域網(wǎng)數(shù)據(jù)存儲區(qū)磁盤陣列的前端,為辦公系統(tǒng)數(shù)據(jù)庫存儲提供SAN網(wǎng)絡磁盤存儲加密功能。
(五)網(wǎng)絡信任支撐分系統(tǒng)
網(wǎng)絡信任支撐分系統(tǒng)作為認證和授權(quán)基礎設施,為全網(wǎng)提供統(tǒng)一的用戶實名管理功能,以服務化的方式對應用系統(tǒng)和安全裝備等提供用戶身份認證、訪問控制和單點登錄功能,主要由用戶身份管理系統(tǒng)、生物特征識別設備等裝備組成。依托全網(wǎng)統(tǒng)一的身份認證服務體系,實現(xiàn)基于用戶身份和權(quán)限的訪問控制。
(六)安全運維管理分系統(tǒng)
安全運維管理分系統(tǒng)用于實現(xiàn)統(tǒng)一管理,以及安全事件審計、安全風險評估等功能,為安全保密系統(tǒng)整體效能的發(fā)揮提供技術(shù)支撐。主要由漏洞掃描系統(tǒng)、主機監(jiān)控與審計系統(tǒng)、惡意代碼檢測系統(tǒng)、安全管理系統(tǒng)、安全審計軟件和安全應急處置工具箱等裝備組成。
三、總結(jié)
北京西岐網(wǎng)絡公司通過對部隊網(wǎng)絡系統(tǒng)的風險分析及需要解決的安全問題,制定了合理的安全策略及安全方案來確保部隊網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性、可審查性和可恢復性。智慧軍營安全防護系統(tǒng),既涉及對外部攻擊的有效防范,又包括制定完善的內(nèi)部安全保障制度;既涉及防病毒攻擊,又涵蓋實時監(jiān)測、數(shù)據(jù)加密和安全評估等內(nèi)容。全方位保障部隊的數(shù)據(jù)訪問安全,將部隊的數(shù)據(jù)信息進行高效管控。幫助部隊打通安全管理工作的最后一公里距離,提供獨特的安全可視,提升全過程的安全認知能力,讓安全更有效,更簡單。